„PikaBot“ kenkėjiška programa įdiegta kartu su „DarkGate“.

Sukčiavimo kampanijose, diegiančiose kenkėjiškų programų šeimas, tokias kaip „DarkGate“ ir „PikaBot“, taikomos strategijos, primenančios ankstesnes atakas, susijusias su dabar nebeegzistuojančiu „QakBot“ Trojos arkliu. Remiantis Cofense ataskaita, kuri buvo pasidalinta su The Hacker News, šios taktikos apima infekcijų inicijavimą per pažeistas el. pašto gijas, skirtingų šablonų URL naudojimą, siekiant apriboti vartotojų prieigą, ir infekcijos grandinės, labai panašios į QakBot pristatymą, naudojimą.

Pasirinktos kenkėjiškų programų šeimos taip pat atitinka QakBot filialų lūkesčius. „QakBot“, taip pat žinomas kaip „QBot“ ir „Pinkslipbot“, rugpjūčio mėn. buvo išmontuotas vykdant operaciją „Ančių medžioklė“.

„DarkGate“ ir „PikaBot“ pritaikymas šiose kampanijose nestebina, nes jie gali būti kanalai, perkeliantys papildomus naudingus krovinius pažeistiems pagrindiniams kompiuteriams, todėl jie yra patrauklūs kibernetiniams nusikaltėliams. „Zscaler“ 2023 m. gegužės mėn. analizėje pabrėžė „PikaBot“ ir „QakBot“ paraleles, atkreipdamas dėmesį į platinimo metodų, kampanijų ir kenkėjiškų programų elgsenos panašumus.

Remiantis technine Sekoia ataskaita, „DarkGate“ savo ruožtu naudoja pažangias technologijas, kad išvengtų antivirusinės aptikimo, įskaitant klavišų paspaudimų registravimą, „PowerShell“ vykdymą ir atvirkštinio apvalkalo, leidžiančio operatoriams nuotoliniu būdu valdyti užkrėstą pagrindinį kompiuterį, įdiegimą.

Atlikdama išsamią didelės apimties sukčiavimo kampanijos analizę, „Cofense“ atskleidė, kad ji skirta įvairiems sektoriams. Atakų grandinės apima užgrobtų el. pašto gijų URL adresus, nukreipiančius vartotojus į ZIP archyvą. Šiame archyve yra „JavaScript“ lašintuvas, kuris prisijungia prie antrojo URL, kad būtų galima atsisiųsti ir vykdyti „DarkGate“ arba „PikaBot“ kenkėjišką programą.

Pastebimas atakų variantas naudoja „Excel“ priedų (XLL) failus, o ne „JavaScript“ lašintuvus, kad pateiktų galutinę naudingąją apkrovą. Sėkmingai užsikrėtus „DarkGate“ arba „PikaBot“, gali būti įdiegta pažangi kriptovaliutų gavybos programinė įranga, žvalgybos įrankiai, išpirkos reikalaujančios programos ar bet koks kitas kenkėjiškas failas, kurį pasirinko grėsmės veikėjai, kaip pranešė „Cofense“.